Macのディレクトリユーティリティでドメインのアクセスを設定する
重要: Active Directoryコネクタの詳細オプションを使用すると、Active Directoryスキーマの正しい属性に、macOSの一意なユーザID(UID)、プライマリグループID(GID)、およびグループGID属性をマッピングできます。ただし、あとでこれらの設定を変更した場合、ユーザは前に作成されたファイルにアクセスできなくなることがあります。
ディレクトリユーティリティを使用してバインドする
Macのディレクトリユーティリティアプリ で、「サービス」をクリックします。
カギのアイコンをクリックします。
管理者のユーザ名とパスワードを入力し、「構成を変更」をクリックします(またはTouch IDを使用します)。
「Active Directory」を選択し、選択したサービスの設定を編集するボタン をクリックします。
設定しているコンピュータにバインドしたいActive DirectoryドメインのDNSホスト名を入力します。
DNSホスト名は、Active Directoryドメインの管理者に問い合わせることができます。
必要に応じて、「コンピュータID」を編集します。
「コンピュータID」は、Active Directoryドメイン内でコンピュータの識別に使用される名前であり、コンピュータの名前に初期設定されます。これは、組織の命名方式に適合するように変更できます。入力する名前が分からない場合は、Active Directoryドメインの管理者に問い合わせてください。
重要: コンピュータ名にハイフンが含まれている場合は、LDAPやActive Directoryなどのディレクトリドメインにバインドできないことがあります。バインドを確立するときは、ハイフンを含まない名前にコンピュータ名を変更してください。
詳細オプションが表示されていない場合は、「オプションを表示」の横の開閉用三角ボタンをクリックします。詳細オプションの設定は、あとで変更することもできます。
(オプション)「ユーザ環境」オプションを選択します。
「モバイルユーザのアカウントを設定する」、「ユーザアカウントのホームフォルダを設定する」、および「Active DirectoryユーザアカウントのUNIXシェルを設定する」を参照してください。
(オプション)「マッピング」オプションを選択します。
(オプション)「管理」オプションを選択します。
このドメインサーバを優先: デフォルトでは、サイト情報とドメインコントローラの応答状況を使用して、使用するドメインコントローラが決定されます。ここで同じサイトのドメインコントローラを指定した場合は、そのコントローラが最初に参照されます。ドメインコントローラが使用できない場合は、デフォルトの動作に戻ります。
管理を許可するユーザ: このオプションを有効にすると、リストにあるActive Directoryグループのメンバー(デフォルトでは、domain adminsとenterprise admins)に、ローカルのMacでの管理アクセス権が付与されます。目的のセキュリティグループをここで指定することもできます。
フォレスト内の任意のドメインから認証: デフォルトでは、自動的にすべてのドメインで認証を検索します。Macがバインドされているドメインだけに認証を限定するには、このチェックボックスの選択を解除します。
「バインド」をクリックしてから、以下の情報を入力します:
注記: ユーザは、Active Directoryでコンピュータをドメインにバインドする権限を持っている必要があります。
ユーザ名とパスワード: 自分のActive Directoryユーザアカウントの名前とパスワードを入力して認証できる場合があります。認証できない場合は、Active Directoryドメインの管理者の名前とパスワードを使用する必要があります。
コンピュータOU: 設定しているコンピュータの組織単位(OU)を入力します。
認証に使用: Active Directoryをコンピュータの認証検索ポリシーに追加する場合に選択します。
連絡先に使用: Active Directoryをコンピュータの連絡先検索ポリシーに追加する場合に選択します。
「OK」をクリックします。
設定しているコンピュータとActive Directoryサーバ間に信頼されたバインディングが設定されます。認証時に選択したオプションに従ってコンピュータの検索ポリシーが設定され、ディレクトリユーティリティの「サービス」パネルでActive Directoryが有効になります。
Active Directoryの詳細オプションのデフォルト設定では、「認証に使用」オプションを選択した場合はコンピュータの認証検索ポリシーに、「連絡先に使用」オプションを選択した場合は連絡先情報検索ポリシーに、Active Directoryフォレストが追加されます。
ただし、「バインド」をクリックする前に、「管理」詳細オプションで「フォレスト内の任意のドメインから認証」の選択を解除した場合は、フォレストではなく、最も近くにあるActive Directoryドメインが追加されます。
あとで、Active Directoryフォレストまたは個別のドメインを追加または削除することによって、検索ポリシーを変更できます。検索ポリシーを定義するを参照してください。
構成プロファイルを使用してバインドする
構成プロファイルのディレクトリペイロードでは、Active Directoryにバインドするように1台のMacを構成したり、何百台ものMacを自動化したりできます。ほかの構成プロファイルペイロードと同様、ディレクトリペイロードの展開は、手動で、スクリプトを使用して、MDM登録の一部として、またはクライアント管理ソリューションを使用して行うことができます。
ペイロードは構成プロファイルの一部であり、管理者はペイロードを使用してmacOSの特定の部分を管理することができます。構成プロファイルの作成方法は、MDMベンダーにお問い合わせください。
コマンドラインを使用してバインドする
ターミナルアプリでdsconfigad
コマンドを使用して、MacをActive Directoryにバインドすることができます。
例えば、次のコマンドを使用して、MacをActive Directoryにバインドすることができます:
dsconfigad -preferred <adserver.example.com> -a <computername> –domain example.com -u administrator -p <password>
Macをドメインにバインドしたあとで、dsconfigad
を使用して、ディレクトリユーティリティで管理オプションを設定できます:
dsconfigad -alldomains enable -groups domain <admins@example.com>, enterprise <admins@example.com>
コマンドラインの詳細オプション
Active Directoryへのネイティブ対応には、ディレクトリユーティリティに表示されないオプションが含まれています。それらの詳細オプションを表示するには、構成プロファイルのディレクトリペイロードを使用するか、dsconfigad
コマンドラインツールを使用します。
コマンドラインオプションの確認を開始するには、dsconfigad manページを開きます。
コンピュータオブジェクトのパスワード間隔
MacシステムをActive Directoryにバインドすると、システムのキーチェーンに保存されるコンピュータアカウントパスワードがActive Directoryによって設定され、Active DirectoryはMacによって自動的に変更されます。デフォルトのパスワード間隔は14日ごとですが、ディレクトリペイロードまたはdsconfigad
コマンドラインツールを使用して、ポリシーに必要な任意の間隔を設定できます。
値を0に設定すると、アカウントパスワードの自動変更が無効になります: dsconfigad -passinterval 0
注記: コンピュータオブジェクトのパスワードは、パスワード値としてシステムキーチェーンに保存されます。パスワードを取得するには、キーチェーンアクセスを開き、システムキーチェーンを選択してから、「パスワード」カテゴリを選択します。「/Active Directory/DOMAIN」のように表示されるエントリーを見つけます。「DOMAIN」は、Active DirectoryドメインのNetBIOS名です。このエントリーをダブルクリックしてから、「パスワードを表示」チェックボックスを選択します。必要に応じて、ローカル管理者として認証します。
名前空間への対応
macOSは、Active Directoryフォレスト内のさまざまなドメインに存在する同じ略称(またはログイン名)を持つ複数のユーザの認証に対応しています。ディレクトリペイロードまたはdsconfigad
コマンドラインツールを使用した名前空間への対応を有効にすることで、あるドメインのユーザが2番目のドメインのユーザとして同じ略称を持つことができます。両方のユーザとも、ドメインとそのあとに続く略称の名前を使用してログインする必要があります(「DOMAIN\略称」)。これは、Windows PCへのログインと似ています。この対応を有効にするには、以下のコマンドを使用します:
dsconfigad -namespace <forest>
パケットの署名と暗号化
Open Directoryクライアントは、Active Directoryとの通信に使用されるLDAP接続に署名して暗号化することができます。署名済みのSMBへの対応がmacOSにあれば、Macコンピュータを使用できるようにするためにサイトのセキュリティポリシーをダウングレードする必要はありません。また、署名されて暗号化されたLDAP接続では、SSL経由でLDAPを使用する必要がありません。SSL接続が必要な場合は、以下のコマンドを使用して、SSLを使用するようにOpen Directoryを構成します:
dsconfigad -packetencrypt ssl
ドメインコントローラで使用する証明書は、SSL暗号化が正常に行われる点で信頼できる必要があります。ドメインコントローラの証明書がmacOSネイティブの信頼できるシステムルートから発行されてない場合は、証明書チェーンをシステムのキーチェーンにインストールして信頼できるようにしてください。macOSでデフォルトで信頼できる認証局は、「システムルート」のキーチェーンにあります。証明書をインストールして信頼を確立するには、以下のいずれかの操作を行います:
構成プロファイルの証明書ペイロードを使用して、ルート証明書や必要な中間証明書を読み込む
「/アプリケーション/ユーティリティ/」にあるキーチェーンアクセスを使用する
セキュリティコマンドを次のように使用する:
/usr/bin/security add-trusted-cert -d -p basic -k /Library/Keychains/System.keychain <path/to/certificate/file>
ダイナミックDNSを制限する
デフォルトでは、macOSは、すべてのインターフェイスに対してDNSのアドレス(A)レコードをアップデートしようとします。複数のインターフェイスが構成されている場合、これはDNSに複数のレコードが存在する結果になることがあります。この動作を管理するには、ディレクトリペイロードまたはdsconfigad
コマンドラインツールを使用して、DDNS(Dynamic Domain Name System)をアップデートするときに使用するインターフェイスを指定します。DDNSアップデートを関連付けるインターフェイスのBSD名を指定します。BSD名は「デバイス」フィールドと同じで、次のコマンドで返されます:
networksetup -listallhardwareports
スクリプトでdsconfigad
を使用する場合は、ドメインへのバインドに使用するクリアテキストパスワードを含める必要があります。通常、ほかの管理者権限のないActive Directoryユーザは、Macコンピュータをドメインにバインドする責任を委任されます。このユーザ名とパスワードのペアは、スクリプトに保存されます。スクリプトは通常、バインディング後にそのスクリプト自体によって確実に削除されるので、この情報はストレージデバイス上に存在しなくなります。